Compartilhar via

Configurar o gateway de VPN para o Azure Stack Hub usando o FortiGate NVA

  • Artigo

Este artigo descreve como criar uma conexão VPN com o Azure Stack Hub. Um gateway de VPN é um tipo de gateway de rede virtual que envia tráfego criptografado entre sua rede virtual no Azure Stack Hub e um gateway de VPN remoto. O procedimento a seguir implanta uma VNET com uma NVA FortiGate, uma solução de virtualização de rede, dentro de um grupo de recursos. Ele também fornece etapas para configurar uma VPN IPSec na NVA do FortiGate.

Pré-requisitos

  • Acesso a um sistema integrado do Azure Stack Hub com capacidade disponível para implantar os requisitos de computação, rede e recursos necessários para essa solução.

    Observação

    Essas instruções não funcionarão com um ASDK (Azure Stack Development Kit) devido às limitações de rede no ASDK. Para obter mais informações, consulte Requisitos e considerações do ASDK.

  • Acesso a um dispositivo VPN na rede local que hospeda o sistema integrado do Azure Stack Hub. O dispositivo precisa criar um túnel IPSec, que atenda aos parâmetros descritos nos parâmetros de implantação.

  • Uma solução de NVA (solução de virtualização de rede) disponível no Azure Stack Hub Marketplace. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a solução de VM única de firewall de próxima geração Fortinet FortiGate.

    Observação

    Se você não tiver o Fortinet FortiGate-VM para Azure BYOL e o FortiGate NGFW - BYOL (Implantação de VM Única) disponíveis no Azure Stack Hub Marketplace, entre em contato com o operador de nuvem.

  • Para ativar a NVA do FortiGate, você precisará de pelo menos um arquivo de licença do FortiGate disponível. Informações sobre como adquirir essas licenças, consulte o artigo da Biblioteca de Documentos da Fortinet Registrando e baixando sua licença.

    Este procedimento usa a implantação de VM única do FortiGate. Você pode encontrar etapas sobre como conectar a NVA do FortiGate à VNET do Azure Stack Hub em sua rede local.

    Para obter mais informações sobre como implantar a solução FortiGate em uma configuração ativa-passiva (HA), consulte os detalhes no artigo da Biblioteca de Documentos Fortinet HA para FortiGate-VM no Azure.

Parâmetros de implantação

A tabela a seguir resume os parâmetros usados nessas implantações para referência.

Parâmetro Valor
Nome da instância do FortiGate forti1
Licença/versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate Fortiadmin
Nome do Grupo de Recursos Forti1-RG1
Nome da rede virtual forti1vnet1
Espaço de endereço VNET 172.16.0.0/16*
Nome da sub-rede VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Dentro do nome da sub-rede VNET forti1-InsideSubnet
Dentro do prefixo de sub-rede VNET 172.16.1.0/24*
Tamanho da VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Observação

* Escolha um espaço de endereço e prefixos de sub-rede diferentes se 172.16.0.0/16 houver sobreposição com a rede local ou o pool VIP do Azure Stack Hub.

Implantar os itens do FortiGate NGFW Marketplace

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Criar um recurso e pesquise FortiGate.

    A lista de resultados da pesquisa mostra FortiGate NGFW - Implantação de VM única.

  3. Selecione o FortiGate NGFW e selecione Criar.

  4. Conclua Noções básicas usando os parâmetros da tabela Parâmetros de implantação.

    A tela Noções básicas tem valores da tabela de parâmetros de implantação inseridos em caixas de lista e texto.

  5. Selecione OK.

  6. Forneça os detalhes da rede virtual, sub-redes e tamanho da VM usando a tabela Parâmetros de implantação.

    Aviso

    Se a rede local se sobrepuser ao intervalo 172.16.0.0/16de IP, você deverá selecionar e configurar um intervalo de rede e sub-redes diferentes. Se você quiser usar nomes e intervalos diferentes dos da tabela Parâmetros de implantação, use parâmetros que não entrem em conflito com a rede local. Tome cuidado ao definir o intervalo de IP da VNET e os intervalos de sub-rede dentro da VNET. Você não deseja que o intervalo se sobreponha aos intervalos de IP existentes em sua rede local.

  7. Selecione OK.

  8. Configure o IP público para a NVA do FortiGate:

    A caixa de diálogo Atribuição de IP mostra o valor forti1-publicip1 para

  9. Selecione OK. E, em seguida, selecione OK.

  10. Selecione Criar.

    A implantação levará cerca de 10 minutos.

Configurar rotas (UDR) para a VNET

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Grupos de recursos. Digite forti1-rg1 o filtro e clique duas vezes no grupo de recursos forti1-rg1.

    Dez recursos são listados para o grupo de recursos forti1-rg1.

  3. Selecione o recurso 'forti1-forti1-InsideSubnet-routes-xxxx'.

  4. Selecione Rotas, em Configurações.

    O botão Rotas é selecionado na caixa de diálogo Configurações.

  5. Exclua a rota para a Internet .

    A rota para a Internet é a única rota listada e está selecionada. Há um botão excluir.

  6. Selecione Sim.

  7. Selecione Adicionar para adicionar uma nova rota.

  8. Nomeie a rota to-onprem.

  9. Insira o intervalo de rede IP que define o intervalo de rede da rede local à qual a VPN se conectará.

  10. Selecione Solução de virtualização para Tipo de próximo salto e 172.16.1.4. Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

    A caixa de diálogo Adicionar rota mostra os quatro valores que foram inseridos nas caixas de texto.

  11. Selecione Salvar.

Ativar a NVA do FortiGate

Ative a NVA do FortiGate e configure uma conexão VPN IPSec em cada NVA.

Para ativar cada NVA do FortiGate, será necessário um arquivo de licença válido da Fortinet. As NVAs não funcionarão até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e as etapas para ativar a NVA, consulte o artigo da Biblioteca de Documentos da Fortinet Registrando e baixando sua licença.

Depois de ativar as NVAs, crie um túnel VPN IPSec na NVA.

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Grupos de recursos. Insira forti1 o filtro e clique duas vezes no grupo de recursos forti1.

  3. Clique duas vezes na máquina virtual forti1 na lista de tipos de recursos na folha do grupo de recursos.

    A página Visão geral da máquina virtual forti1 mostra valores para forti1, como

  4. Copie o endereço IP atribuído, abra um navegador e cole o endereço IP na barra de endereços. O site pode disparar um aviso de que o certificado de segurança não é confiável. Continue de qualquer maneira.

  5. Insira o nome de usuário administrativo e a senha do FortiGate que você forneceu durante a implantação.

    A caixa de diálogo de login tem caixas de texto de usuário e senha e um botão Login.

  6. Selecione Firmware do sistema>.

  7. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A caixa de diálogo Firmware tem o identificador de firmware

  8. Selecione Configuração de backup e atualize>Continuar.

  9. A NVA atualiza seu firmware para o build mais recente e reinicializa. O processo leva cerca de cinco minutos. Faça login novamente no console da web do FortiGate.

  10. Clique em Assistente de IPSec de VPN>.

  11. Insira um nome para a VPN, por exemplo, conn1 no Assistente de criação de VPN.

  12. Selecione Este site está atrás do NAT.

    A captura de tela do Assistente de criação de VPN mostra que ele está na primeira etapa, Configuração da VPN. Os seguintes valores são selecionados:

  13. Selecione Avançar.

  14. Insira o endereço IP remoto do dispositivo VPN local ao qual você se conectará.

  15. Selecione port1 como a interface de saída.

  16. Selecione Chave pré-compartilhada e insira (e grave) uma chave pré-compartilhada.

    Observação

    Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, elas devem corresponder exatamente.

    A captura de tela do Assistente de criação de VPN mostra que ele está na segunda etapa, Autenticação, e os valores selecionados são destacados.

  17. Selecione Avançar.

  18. Selecione a porta2 para a interface local.

  19. Insira o intervalo de sub-rede local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

  20. Insira as Sub-redes Remotas apropriadas que representam a rede local, à qual você se conectará por meio do dispositivo VPN local.

    A captura de tela do Assistente de criação de VPN mostra que ele está na terceira etapa, Política e roteamento. Ele mostra os valores selecionados e inseridos.

  21. Escolha Criar

  22. Selecione Interfaces de rede>.

    A lista de interfaces mostra duas interfaces: port1, que foi configurada, e port2, que não foi. Existem botões para criar, editar e excluir interfaces.

  23. Clique duas vezes na porta2.

  24. Escolha LAN na lista Função e DHCP para o modo de endereçamento.

  25. Selecione OK.

Configurar a VPN local

O dispositivo VPN local deve ser configurado para criar o túnel VPN IPSec. A tabela a seguir fornece os parâmetros necessários para configurar o dispositivo VPN local. Para obter informações sobre como configurar o dispositivo VPN local, consulte a documentação do seu dispositivo.

Parâmetro Valor
IP do gateway remoto Endereço IP público atribuído a forti1 – consulte Ativar a NVA do FortiGate.
Rede IP remota 172.16.0.0/16 (se estiver usando o intervalo de IP nestas instruções para a VNET).
Método de autenticação = chave pré-compartilhada (PSK) Da Etapa 16.
Versão IKE 1
Modo IKE Principal (proteção de ID)
Algoritmos de proposta da fase 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Grupos Diffie-Hellman 14, 5

Criar o túnel VPN

Depois que o dispositivo VPN local estiver configurado adequadamente, o túnel VPN poderá ser estabelecido.

Do FortiGate NVA:

  1. No console da Web forti1 FortiGate, vá para Monitor>IPsec Monitor.

    O monitor para conexão VPN conn1 está listado. Ele é mostrado como inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione os seletores Bring Up>All Phase 2.

    O monitor e o Seletor de Fase 2 são mostrados como para cima.

Testar e validar a conectividade

Você pode rotear entre a rede VNET e a rede local por meio do dispositivo VPN local.

Para validar a conexão:

  1. Crie uma VM nas VNETs do Azure Stack Hub e um sistema na rede local. Você pode seguir as instruções para criar uma VM em Início Rápido: Criar uma VM do Windows Server com o portal do Azure Stack Hub.

  2. Ao criar a VM do Azure Stack Hub e preparar o sistema local, verifique:

  • A VM do Azure Stack Hub é colocada no InsideSubnet da VNET.

  • O sistema local é colocado na rede local dentro do intervalo de IP definido, conforme definido na configuração do IPSec. Verifique também se o endereço IP da interface local do dispositivo VPN local é fornecido ao sistema local como uma rota que pode acessar a rede VNET do Azure Stack Hub, por exemplo, 172.16.0.0/16.

  • Não aplique nenhum NSGs à VM do Azure Stack Hub na criação. Talvez seja necessário remover o NSG que é adicionado por padrão se estiver criando a VM do portal.

  • Verifique se o sistema operacional do sistema local e o sistema operacional da VM do Azure Stack Hub não têm regras de firewall do sistema operacional que proíbam a comunicação que você usará para testar a conectividade. Para fins de teste, é recomendável desabilitar completamente o firewall no sistema operacional de ambos os sistemas.

Próximas etapas

Diferenças e considerações para a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com o Fortinet FortiGate